tag:forum.selfhtml.org,2005:/self FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? – SELFHTML-Forum 2008-11-27T19:25:45Z https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312367#m1312367 Alex 2008-11-27T08:56:52Z 2008-11-27T08:56:52Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Hallo, ich arbeite gerade an einem Online-Shop für einen Mandanten.<br> Dabei ist mir aufgefallen das man die JS-Validierung (oder was auch immer) ganz einfach außer Kraft setzten kann.</p> <p>Beispiel:</p> <p><code class="language-html"><span class="token tag"><span class="token tag"><span class="token punctuation"><</span>form</span> <span class="token attr-name">action</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>xyz<span class="token punctuation">"</span></span> <span class="token attr-name">method</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>post<span class="token punctuation">"</span></span> <span class="token attr-name">...</span> <span class="token attr-name">onSumbit</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>return validateTheForm(this)<span class="token punctuation">"</span></span><span class="token punctuation">></span></span></code></p> <p>im FireBug kann man den "onSubmit-Befehl" außer kraft setzten, und der Validierung entgehen. Das gleiche lässt sich (leider) auch bei Kreditkarten-Validierung einsetzen (JavaScript-Validierung).</p> <p>Ist es eine große Lücke im FireBug oder wie soll ich das ganze verstehen?</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312380#m1312380 Længlich http://www.grinningbit.com 2008-11-27T09:04:37Z 2008-11-27T09:04:37Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Merhaba!</p> <blockquote> <p><code class="language-html"><span class="token tag"><span class="token tag"><span class="token punctuation"><</span>form</span> <span class="token attr-name">action</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>xyz<span class="token punctuation">"</span></span> <span class="token attr-name">method</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>post<span class="token punctuation">"</span></span> <span class="token attr-name">...</span> <span class="token attr-name">onSumbit</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>return validateTheForm(this)<span class="token punctuation">"</span></span><span class="token punctuation">></span></span></code></p> <p>im FireBug kann man den "onSubmit-Befehl" außer kraft setzten, und der Validierung entgehen. Das gleiche lässt sich (leider) auch bei Kreditkarten-Validierung einsetzen (JavaScript-Validierung).</p> <p>Ist es eine große Lücke im FireBug oder wie soll ich das ganze verstehen?</p> </blockquote> <p>Nein, Firebug macht es nur bequemer. Leute ohne Firebug können die Seite abespeichern, die betreffende Änderung mit dem Texteditor vornehmen und das Formular dann aus der veränderten Version abschicken.<br> Und dann gibt es noch Leute, die NoScript benutzen (ich möchte nie mehr ohne surfen) oder Javascript einfach so ausschalten.</p> <p>Du bist auf einem Umweg auf die Tatsache gestoßen, daß ausschließlich clientseitige Validierung generell keine gute Idee ist. ;-)</p> <p>Viele Grüße vom Længlich</p> <div class="signature">-- <br> Mein aktueller Gruß ist:<br> Türkisch </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312369#m1312369 Dieter Raber 2008-11-27T09:06:47Z 2008-11-27T09:06:47Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Hallo Alex,</p> <p>das kann man auch ohne Firebug, indem man Javascript einfach ausschaltet. Javascriptvalidierung ist nur zu gebrauchen, um dem User ein direktes Feedback zu geben, in jedem Fall muessen alle Daten serverseitig nocheinmal kontrolliert werden.</p> <p>Gruss</p> <p>Dieter</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312368#m1312368 Vinzenz Mai vinzenzmai@web.de 2008-11-27T09:12:37Z 2008-11-27T09:12:37Z Clientseitige Prüfung, nette Zugabe aber keine Sicherheit <p>Hallo,</p> <blockquote> <p>Hallo, ich arbeite gerade an einem Online-Shop für einen Mandanten.<br> Dabei ist mir aufgefallen das man die JS-Validierung (oder was auch immer) ganz einfach außer Kraft setzten kann.</p> </blockquote> <p>jegliches Javascript zur Validierung ist nett und benutzerfreundlich, aber immer nur die Kür zusätzlich zur Pflicht der serverseitigen Prüfung.</p> <blockquote> <p>Beispiel:</p> <p><code class="language-html"><span class="token tag"><span class="token tag"><span class="token punctuation"><</span>form</span> <span class="token attr-name">action</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>xyz<span class="token punctuation">"</span></span> <span class="token attr-name">method</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>post<span class="token punctuation">"</span></span> <span class="token attr-name">...</span> <span class="token attr-name">onSumbit</span><span class="token attr-value"><span class="token punctuation attr-equals">=</span><span class="token punctuation">"</span>return validateTheForm(this)<span class="token punctuation">"</span></span><span class="token punctuation">></span></span></code></p> <p>im FireBug kann man den "onSubmit-Befehl" außer kraft setzten, und der Validierung entgehen. Das gleiche lässt sich (leider) auch bei Kreditkarten-Validierung einsetzen (JavaScript-Validierung).</p> <p>Ist es eine große Lücke im FireBug oder wie soll ich das ganze verstehen?</p> </blockquote> <p>Nein, natürlich nicht. Wenn sich eine Anwendung in Sachen Sicherheit ausschließlich auf Javascript verläßt, dann ist die Anwendung grob fehlerhaft und den Entwicklern darf Stümperei bescheinigt werden.</p> <p>Alles was vom Client (Browser) kommt, sind Daten, die fehlerhaft und manipuliert sein können und serverseitig validiert werden müssen. Oft zitiert:</p> <p>"All input is evil."</p> <p>Freundliche Grüße</p> <p>Vinzenz</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312370#m1312370 Alex 2008-11-27T09:13:36Z 2008-11-27T09:13:36Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>das kann man auch ohne Firebug, indem man Javascript einfach ausschaltet.</p> </blockquote> <p>Wenn man JS ausschaltet, gelangt man erst garnicht zur der Seite.<br> <noscript></noscript> ;)</p> <blockquote> <p>Javascriptvalidierung ist nur zu gebrauchen, um dem User ein direktes<br> Feedback zu geben, in jedem Fall muessen alle Daten serverseitig nocheinmal<br> kontrolliert werden.</p> </blockquote> <p>Leiter tuts nicht.<br> Es wäre viel zu umständlich das jetzt einzubauen, der der Shop sehr komplex ist.</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312371#m1312371 Hopsel 2008-11-27T09:20:52Z 2008-11-27T09:20:52Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Hi Alex!</p> <blockquote> <p>Wenn man JS ausschaltet, gelangt man erst garnicht zur der Seite.</p> </blockquote> <p>Ich kann doch auch erst auf die Seite und dann Javascript ausschalten.<br> Oder ich nehme Firebug. Auf deine Validierung pfeiff ich, so wie ich gerade Lust habe. Du DARFST clientseitiges Javascript NICHT AUSSCHLIESSLICH zur Validierung von Nutzereingaben verwenden! Da gibt´s keine Diskussion und keinen Workarround!</p> <blockquote> <p>Es wäre viel zu umständlich das jetzt einzubauen, der der Shop sehr komplex ist.</p> </blockquote> <p>Dann wunder dich nicht, wenn du arge Probleme bekommst.</p> <p>MfG H☼psel</p> <div class="signature">-- <br> "It's amazing I won. I was running against peace, prosperity, and incumbency."<br> George W. Bush speaking to Swedish Prime Minister unaware a live television camera was still rolling, June 14, 2001<br> <a href="http://community.de.selfhtml.org/fanprojekte/selfcode.htm" rel="nofollow noopener noreferrer">Selfcode</a>: ie:% fl:( br:> va:) ls:& fo:) rl:? n4:& ss:| de:] js:| ch:? sh:( mo:) zu:) </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312372#m1312372 Alex 2008-11-27T09:46:51Z 2008-11-27T09:46:51Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>Ich kann doch auch erst auf die Seite und dann Javascript ausschalten.<br> Oder ich nehme Firebug. Auf deine Validierung pfeiff ich, so wie ich gerade Lust habe. Du DARFST clientseitiges Javascript NICHT AUSSCHLIESSLICH zur Validierung von Nutzereingaben verwenden! Da gibt´s keine Diskussion und keinen Workarround!</p> </blockquote> <p>Du, ich überarbeite den Shop nur.<br> Eine Umstellung auf Serverseitige-Validierung würde den Rahmen sprengen.<br> Der Shop läuft in mehr als 15 Ländern.<br> Leider habe ich den Shop nicht erstellt, sonst würde ich auch auf Serverseitige Validierung setzen!</p> <blockquote> <blockquote> <p>Es wäre viel zu umständlich das jetzt einzubauen, der der Shop sehr komplex ist.</p> </blockquote> </blockquote> <p>Ich nicht! Das Unternehmen ;)</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312373#m1312373 Sven Rautenberg http://www.rtbg.de 2008-11-27T10:33:29Z 2008-11-27T10:33:29Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Moin!</p> <blockquote> <blockquote> <p>Ich kann doch auch erst auf die Seite und dann Javascript ausschalten.<br> Oder ich nehme Firebug. Auf deine Validierung pfeiff ich, so wie ich gerade Lust habe. Du DARFST clientseitiges Javascript NICHT AUSSCHLIESSLICH zur Validierung von Nutzereingaben verwenden! Da gibt´s keine Diskussion und keinen Workarround!<br> Du, ich überarbeite den Shop nur.<br> Eine Umstellung auf Serverseitige-Validierung würde den Rahmen sprengen.</p> </blockquote> </blockquote> <p>Ein Verzicht darauf würde eventuell den Shop sprengen!</p> <blockquote> <p>Der Shop läuft in mehr als 15 Ländern.</p> </blockquote> <p>Dann sollte genug Gewinn abgeworfen werden, um eine vernünftige Lösung einbauen zu lassen.</p> <blockquote> <p>Leider habe ich den Shop nicht erstellt, sonst würde ich auch auf Serverseitige Validierung setzen!</p> <blockquote> <blockquote> <p>Es wäre viel zu umständlich das jetzt einzubauen, der der Shop sehr komplex ist.</p> </blockquote> </blockquote> </blockquote> <p>"Es wäre DIR viel zu umständlich, es einzubauen, da es DIR zu komplex ist."</p> <p>Verstehe nicht, wo das Problem liegt? Die sinnlosen Barrieren mit Referrerprüfung konnten doch auch eingebaut werden.</p> <p>- Sven Rautenberg</p> <div class="signature">-- <br> "Love your nation - respect the others." </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312374#m1312374 Alex 2008-11-27T12:11:22Z 2008-11-27T12:11:22Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>Dann sollte genug Gewinn abgeworfen werden, um eine vernünftige Lösung einbauen zu lassen.</p> </blockquote> <p>Amen! Das denke ich auch, aber ich bin ja nicht der Chef hier.</p> <blockquote> <p>"Es wäre DIR viel zu umständlich, es einzubauen, da es DIR zu komplex ist."</p> </blockquote> <p>Nein! Ich habe keine Erlaubnis, kein "Go" für diese gravierende Veränderung.<br> Ich müsste zig tausend Zeilen am Quellcode ändern/anpassen um das Umzusetzten, dann würde man wieder zig hunderte Tests durchjagen, eine Firma beauftragen die Seite auf Manipulationsmöglichkeiten zu prüfen, was viele, viele Tausend EUR kostet wird. Wäre ich von anfangan am Shopaufbau beteiligt, wäre das was anderes, aber der Shop ist bereits seit 4 oder 5 Jahren online.</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312375#m1312375 Harlequin harlequin@jesterfox.de 2008-11-27T12:19:11Z 2008-11-27T12:19:11Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Yerf!</p> <blockquote> <p>eine Firma beauftragen die Seite auf Manipulationsmöglichkeiten zu prüfen</p> </blockquote> <p>Hätte man das schon beim ersten mal gemacht wäre es nicht soweit gekommen...</p> <p>Falls doch eine Firma beauftragt wurde solltet ihr Prüfen ob ihr diese Verklagen könnt!</p> <p>Gruß,</p> <p>Harlequin</p> <div class="signature">-- <br> <!--[if IE]>This page is best viewed with a webbrowser. <a href="http://www.opera.com" rel="nofollow noopener noreferrer">Get one today!</a><![endif]--> </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312376#m1312376 Alex 2008-11-27T12:45:24Z 2008-11-27T12:45:24Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>Falls doch eine Firma beauftragt wurde solltet ihr Prüfen ob ihr diese Verklagen könnt!</p> </blockquote> <p>Wurde beaftragt!<br> Alles in Ordung.<br> Mag sein das es möglich ist, ohne Seinen Adresse anzugeben, Sache im Shop zu bestellen, aber MANIPULATION von Preisen, DB o.ä. ist NICHT MÖGLICH!<br> Alle relevanten Sachen wie Preise, IDs, PWs, Loginnamen usw. können NICHT manipuliert werden. Lediglich die Validierung der Rechnungsanschrift und Lieferanschrift sind manipulationsanfällig.</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312377#m1312377 Vinzenz Mai vinzenzmai@web.de 2008-11-27T13:16:33Z 2008-11-27T13:16:33Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Hallo Alex,</p> <blockquote> <p>Mag sein das es möglich ist, ohne Seinen Adresse anzugeben, Sache im Shop zu bestellen, aber MANIPULATION von Preisen, DB o.ä. ist NICHT MÖGLICH!<br> Alle relevanten Sachen wie Preise, IDs, PWs, Loginnamen usw. können NICHT manipuliert werden. Lediglich die Validierung der Rechnungsanschrift und Lieferanschrift sind manipulationsanfällig.</p> </blockquote> <p>und die von <a href="https://forum.selfhtml.org/?t=179961&m=1188293" rel="noopener noreferrer">Kreditkarten</a>?<br> Du gibst wirklich kein gutes Bild ab.</p> <p>Wo siehst Du eigentlich den Bezug zwischen FireBug und Barrierefreiheit?</p> <p>Beratende Grüße</p> <p>Vinzenz</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312378#m1312378 Alex 2008-11-27T14:46:48Z 2008-11-27T14:46:48Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>und die von <a href="https://forum.selfhtml.org/?t=179961&m=1188293" rel="noopener noreferrer">Kreditkarten</a>?</p> </blockquote> <p>Die Kreditkarten werden auf Anfangswerte, Nummerlänge, Zugehörigkeit und auf Prüfziffer überprüft. Das abbuchen sowie das verefizieren übernimmt ein Fachunternehmen "Bibit.com". Sollte es trotzdem gelingen mit falschen Daten durch die Kasse zu gelangen, wird spätestens beim Abbuchen des Betrages die Bestellung storniert bzw. der Kunde wird um Info gebeten.</p> <blockquote> <p>Du gibst wirklich kein gutes Bild ab.</p> </blockquote> <p>Wie meinst du das den?</p> <blockquote> <p>Wo siehst Du eigentlich den Bezug zwischen FireBug und Barrierefreiheit?</p> </blockquote> <p>Keine Ahnung, aber das Thema "Manipulation" stand ja nicht zur Auswahl.</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312379#m1312379 Timo "God's Boss" Reitz godsboss@gmx.de http://www.godsboss.de/ 2008-11-27T19:25:45Z 2008-11-27T19:25:45Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <blockquote> <p>Wo siehst Du eigentlich den Bezug zwischen FireBug und Barrierefreiheit?<br> Keine Ahnung, aber das Thema "Manipulation" stand ja nicht zur Auswahl.</p> </blockquote> </blockquote> <p>Es gibt aber ein Feld "Sonstiges", wenn man wirklich nichts findet ("Browser" wäre eventuell noch gegangen, Firebug ist immerhin ein Browser-Plugin).</p> <div class="signature">-- <br> Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin.<br> Self-Code: sh:( ch:? rl:( br:> n4:( ie:{ mo:) va:) de:> zu:} fl:| ss:| ls:~ js:| </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312381#m1312381 Alex 2008-11-27T09:16:01Z 2008-11-27T09:16:01Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>Nein, Firebug macht es nur bequemer. Leute ohne Firebug können die Seite abespeichern, die betreffende Änderung mit dem Texteditor vornehmen und das Formular dann aus der veränderten Version abschicken.</p> </blockquote> <p>Nein!<br> Das Perl-Dokument das die Daten empfängt prüft auf Referer, stimmt der nicht, wird der Zugang verweigert.</p> <blockquote> <p>Und dann gibt es noch Leute, die NoScript benutzen (ich möchte nie mehr ohne surfen) oder Javascript einfach so ausschalten.</p> </blockquote> <p>Mit ausgeschaltetem JS funktioniert der Shop nicht. Daher kommt man erst garnicht in den Bereich wo die Validierung stattfindet (Warenkorb).</p> <blockquote> <p>Du bist auf einem Umweg auf die Tatsache gestoßen, daß ausschließlich clientseitige Validierung generell keine gute Idee ist. ;-)</p> </blockquote> <p>Ja, danke :)</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312398#m1312398 Rouven 2008-11-27T09:19:23Z 2008-11-27T09:19:23Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Hello,</p> <blockquote> <p>Das Perl-Dokument das die Daten empfängt prüft auf Referer, stimmt der nicht, wird der Zugang verweigert.</p> </blockquote> <p>cool, unbenutzbare Anwendung für mein privates und mein Firmennetzwerk, hier wird der Referer aus dem Request gelöscht.</p> <p>MfG<br> Rouven</p> <div class="signature">-- <br> -------------------<br> sh:| fo:} ch:? rl:( br:& n4:{ ie:| mo:} va:) js:| de:] zu:| fl:( ss:) ls:& (<a href="http://selfspezial.atomic-eggs.com/scode/selfcode.php?encodieren" rel="nofollow noopener noreferrer">SelfCode</a>)<br> Computer programming is tremendous fun. Like music, it is a skill that derives from an unknown blend of innate talent and constant practice. Like drawing, it can be shaped to a variety of ends: commercial, artistic, and pure entertainment. Programmers have a well-deserved reputation for working long hours but are rarely credited with being driven by creative fevers. Programmers talk about software development on weekends, vacations, and over meals not because they lack imagination, but because their imagination reveals worlds that others cannot see. -- Larry OBrien and Bruce Eckel in Thinking in C# </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312382#m1312382 molily molily@selfhtml.org http://molily.de/ 2008-11-27T10:00:50Z 2008-11-27T10:00:50Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <blockquote> <p>Nein, Firebug macht es nur bequemer. Leute ohne Firebug können die Seite abespeichern, die betreffende Änderung mit dem Texteditor vornehmen und das Formular dann aus der veränderten Version abschicken.<br> Nein!</p> </blockquote> </blockquote> <p>Doch!</p> <blockquote> <p>Das Perl-Dokument das die Daten empfängt prüft auf Referer, stimmt der nicht, wird der Zugang verweigert.</p> </blockquote> <p>Formulardaten, Referrer usw. lassen sich beliebig fälschen. Wenn ich Unsinn an deinen Shop senden will und z.B. tausende Bestellungen erzeugen will, dann ist das auch möglich, weder JavaScript noch Referrer-Prüfungen hindern mich daran, sie erschweres es nur minimal.</p> <p>Solche Pseudo-Sichherheitsüberprüfungen gehen nur nach hinten los, denn zuverlässig sind sie nicht.</p> <p>Mathias</p> <div class="signature">-- <br> <a href="http://forum.de.selfhtml.org/js/doku/" rel="nofollow noopener noreferrer">JavaScript-Erweiterung für das SELFHTML-Forum</a> </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312383#m1312383 Alex 2008-11-27T12:05:33Z 2008-11-27T12:05:33Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>Doch!</p> </blockquote> <p>Nein!</p> <blockquote> <p>Formulardaten, Referrer usw. lassen sich beliebig fälschen. Wenn ich Unsinn an deinen Shop senden will und z.B. tausende Bestellungen erzeugen will, dann ist das auch möglich, weder JavaScript noch Referrer-Prüfungen hindern mich daran, sie erschweres es nur minimal.</p> </blockquote> <p>Du verstehst mich nicht.<br> Wenn du eine Anfrage an die Perl sendest, was auch immer (...) dann wird dir die Perl den Zugang verweigern wenn du nicht von der (den) Domain kommst, von der das Script die Daten empfangen DARF!<br> Sprich wenn der Shop auf www.xyz.de liegt, dann kannst du keine Anfragen von www.xyzz.de oder www.zxy.de oder localhost zusenden. ZUGANG WIRD VERWEIGERT!<br> Und ohne die die Zugangsdaten zu dem Server, kannst du auch keine veränderungen am Perl vornehmen, ja né ist klar :)</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312385#m1312385 Dirk Dorweiler 2008-11-27T12:15:26Z 2008-11-27T12:15:26Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Mahlzeit</p> <blockquote> <p>Du verstehst mich nicht.</p> </blockquote> <p>Du verstehst Matthias nicht. Ursache: Dir mangelt es an grundlegendem Wissen.</p> <blockquote> <p>Sprich wenn der Shop auf www.xyz.de liegt, dann kannst du keine Anfragen von www.xyzz.de oder www.zxy.de oder localhost zusenden. ZUGANG WIRD VERWEIGERT!<br> Und ohne die die Zugangsdaten zu dem Server, kannst du auch keine veränderungen am Perl vornehmen, ja né ist klar :)</p> </blockquote> <p>Irrelevant. Die Information "Anfragen von www.xyzz.de oder www.zxy.de" sendet der Client und ist beliebig manipulierbar.</p> <p>Grüße</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312384#m1312384 Harlequin harlequin@jesterfox.de 2008-11-27T12:22:17Z 2008-11-27T12:22:17Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Yerf!</p> <blockquote> <p>Wenn du eine Anfrage an die Perl sendest, was auch immer (...) dann wird dir die Perl den Zugang verweigern wenn du nicht von der (den) Domain kommst, von der das Script die Daten empfangen DARF!</p> </blockquote> <p>Es gibt bei HTTP kein *von* sondern nur einzelne völlig voneinander unabhängige Zugriffe auf Ressourcen.</p> <p>Der Refferer ist eine freiwillige Angabe des Clients und etwa so glaubwürdig, wie wenn ich dir jetzt sage, dass ich vom Mars komme...</p> <p>Gruß,</p> <p>Harlequin</p> <div class="signature">-- <br> <!--[if IE]>This page is best viewed with a webbrowser. <a href="http://www.opera.com" rel="nofollow noopener noreferrer">Get one today!</a><![endif]--> </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312386#m1312386 Alex 2008-11-27T14:50:06Z 2008-11-27T14:50:06Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <blockquote> <p>Du verstehst mich nicht.<br> Du verstehst Matthias nicht. Ursache: Dir mangelt es an grundlegendem Wissen.</p> </blockquote> </blockquote> <p>Mag sein, bin noch jung und habe alles noch vor mir ;)</p> <blockquote> <blockquote> <p>Und ohne die die Zugangsdaten zu dem Server, kannst du auch keine veränderungen am Perl vornehmen, ja né ist klar :)<br> Irrelevant. Die Information "Anfragen von www.xyzz.de oder www.zxy.de" sendet der Client und ist beliebig manipulierbar.</p> </blockquote> </blockquote> <p>NEIN! Eben nicht! Kann sein dass ich mich hier falsch Ausgedrückt habe.<br> Es ist nicht möglich, habe ich bereits selber probiert.<br> Wenn die Anfrage nicht von der Damain kommt, die auf der Liste steht, wird NIX gemacht. Basta!</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312396#m1312396 Harlequin harlequin@jesterfox.de 2008-11-27T15:01:55Z 2008-11-27T15:01:55Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Yerf!</p> <blockquote> <p>Wenn die Anfrage nicht von der Damain kommt, die auf der Liste steht, wird NIX gemacht. Basta!</p> </blockquote> <p>Das heißt, bevor ich bei euch etwas bestellen kann muss ich mir erst eine Domain registrieren die auf deiner Liste steht und dann auf dem Server dem diese Domain zugeordnet ist den Browser starten, damit die Anfrage *von dieser Domain* kommt?</p> <p>...und wenn dir diese Aussage lächerlich und blöd vorkommt, das beruht auf Gegenseitigkeit.</p> <p>Dir ist scheinbar nicht klar, was man alles an Requests manipulieren kann. Um es einfach zu sagen: es gibt nichts, das man nicht manipulieren kann. Hol dir mal den Fiddler2 (Proxy), damit kannst du Requests mitprotokolieren, analysieren und modifizieren... viel Spaß ;-)</p> <p>Gruß,</p> <p>Harlequin</p> <div class="signature">-- <br> <!--[if IE]>This page is best viewed with a webbrowser. <a href="http://www.opera.com" rel="nofollow noopener noreferrer">Get one today!</a><![endif]--> </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312395#m1312395 Dirk Dorweiler 2008-11-27T15:27:08Z 2008-11-27T15:27:08Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>Es ist nicht möglich, habe ich bereits selber probiert.</p> </blockquote> <p>LOL</p> <p>Grüße</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312389#m1312389 molily molily@selfhtml.org http://molily.de/ 2008-11-27T17:12:15Z 2008-11-27T17:12:15Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>NEIN! Basta!</p> </blockquote> <p>Es ist eine Sache, wenn man als Profi Dinge nicht kennt oder nicht beachtet. Man lernt nicht aus, muss aber auch bereit sein, den Hinweisen von anderen Fachleuten auf den Grund zu gehen. Es ist eine andere Sache, wenn man an einem großen Projekt arbeitet, es einem eklatant an Grundlagenwissen fehlt UND man sich stur und lernresistent stellt, wenn andere einem wertvolle Tipps geben. Das ist, sorry, einfach Pfusch am Bau. Ich kann nur hoffen, dass niemand die Sicherheitsmängel und Missbrauchsmöglichkeiten ausnutzt.</p> <p>Mathias</p> <div class="signature">-- <br> <a href="http://forum.de.selfhtml.org/js/doku/" rel="nofollow noopener noreferrer">JavaScript-Erweiterung für das SELFHTML-Forum</a> </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312387#m1312387 Der Martin self@kennst.net 2008-11-27T17:42:00Z 2008-11-27T17:42:00Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Hallo,</p> <blockquote> <blockquote> <blockquote> <p>Du verstehst mich nicht.<br> Du verstehst Matthias nicht. Ursache: Dir mangelt es an grundlegendem Wissen.<br> Mag sein, bin noch jung und habe alles noch vor mir ;)</p> </blockquote> </blockquote> </blockquote> <p>gut, dass du es wenigstens so siehst.</p> <blockquote> <blockquote> <p>Irrelevant. Die Information "Anfragen von www.xyzz.de oder www.zxy.de" sendet der Client und ist beliebig manipulierbar.<br> NEIN! Eben nicht! Kann sein dass ich mich hier falsch Ausgedrückt habe.<br> Es ist nicht möglich, habe ich bereits selber probiert.</p> </blockquote> </blockquote> <p>Das heißt nur, dass du es -vermutlich mangels Kenntnis der technischen Grundlagen von HTTP- nicht geschafft hast.</p> <blockquote> <p>Wenn die Anfrage nicht von der Damain kommt, die auf der Liste steht, wird NIX gemacht. Basta!</p> </blockquote> <p>Nochmal: Es gibt im HTTP-Kontext kein "von". Auf deinem Server trifft ein Request ein, der eine bestimmte Ressource anfordert (und der kommt *von* einem dir völlig unbekannten Client). Im Request-Header *kann* ein Feld namens "Referer" sein. Muss aber nicht. Und wenn es da ist, *kann* es die URL des Dokuments enthalten, das den Browser zu diesem Request veranlasst hat. Muss aber nicht.</p> <p>Und da alle diese Informationen vom Client kommen, von dem du weder die technischen Möglichkeiten kennen kannst, noch das Fachwissen oder gar die kriminelle Energie des Anwenders, sind diese Informationen prinzipiell nicht vertrauenswürdig. Nicht einmal die IP-Adresse des Clients lässt sichere Rückschlüsse zu - sie kann nach dem Weg über -zig Proxies mehrmals verschleiert worden sein.<br> Jemand könnte deinem Server einen Request zustellen, bei dem du felsenfest überzeugt wärst, es ist der Bot von Google. Ebenso könnte man den HTTP-Request, den dein Shopsystem als "korrekt" annimmt, auch komplett mit einem x-beliebigen Programm erzeugen. Du würdest den Unterschied nicht bemerken.</p> <p>Fazit: Wenn sich jemand Mühe gibt, der sich mit der Materie wirklich auskennt, dann kann er deinen Shop gnadenlos manipulieren.</p> <p>So long,<br>  Martin</p> <div class="signature">-- <br> <a href="http://community.de.selfhtml.org/zitatesammlung/zitat110" rel="nofollow noopener noreferrer">Programmierer (m), seltener auch ~in (w)</a>:<br> Irdische, i.a. humanoide Lebensform, die in einem komplizierten biochemischen Prozess Kaffee, Cola und Pizza in maschinenlesbaren Programmcode umwandelt.<br> P~ bilden gelegentlich mit ihresgleichen kleine Gruppen, sogenannte Communities, sind aber ansonsten meist scheue Einzelgänger.<br> P~ sind vorwiegend nachtaktiv und ohne technische Hilfsmittel nur eingeschränkt lebensfähig. </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312388#m1312388 Alex 2008-11-27T18:38:56Z 2008-11-27T18:38:56Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Danke, hattest Recht.<br> Bei der nächsten Frage werde ich genauer hinsehen, und mich auch gründlicher Informieren! Danke!</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312391#m1312391 Kai345 kai345@knrs.de http://knrs.de 2008-11-27T18:35:43Z 2008-11-27T18:35:43Z Basta-Progger <p>[latex]Mae  govannen![/latex]</p> <blockquote> <p>Es ist eine andere Sache, wenn man an einem großen Projekt arbeitet, es einem eklatant an Grundlagenwissen fehlt UND man sich stur und lernresistent stellt, wenn andere einem wertvolle Tipps geben. Das ist, sorry, einfach Pfusch am Bau. Ich kann nur hoffen, dass niemand die Sicherheitsmängel und Missbrauchsmöglichkeiten ausnutzt.</p> </blockquote> <p>Ich weiß, ich bin wieder gemein, aber ich hoffe fast schon, *daß* jemand das ausnutzt und einen gewissen, aber nicht zu eklatanten Schaden anrichtet. Die Erfahrung zeigt, daß die kewlen "Das ist sicher, hab ich selber probiert.Basta"-Progger es nur auf diese Weise (-> auf die Schnauze fallen) lernen. Zumal ein Shop auf Javascript ohnehin ein Witz ist, wenn dieses nicht nur als Komfort-Funktionalität vor dem Server genutzt wird.</p> <p>Cü,</p> <p>Kai</p> <div class="signature">-- <br> Ash nazg durbatulûk, ash nazg gimbatul,ash nazg thrakatulûk, agh burzum-ishi krimpatul<br> selfcode sh:( fo:| ch:? rl:( br:< n4:# ie:{ mo:| va:) js:) de:> zu:) fl:( ss:| ls:?<br> <a href="http://www.kaichen.in/selfhtml/" rel="nofollow noopener noreferrer">Mein Selfhtml-Kram</a> </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312390#m1312390 Alex 2008-11-27T18:42:34Z 2008-11-27T18:42:34Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <p>Danke!<br> Ihr hattet Recht, sicher ist es so nicht. Aber wie schon gesagt, ich habe keine Möglichkeiten den Shop sicherer zu machen. Die Auslastung der Mitarbeiter wäre zu gross, außerdem zu kostspielig.</p> <p>PS: Das System wird ausgenutzt, ca. 10.000 EUR Schaden / Tag.<br> Ist aber ein Witz gegen den täglichen Gewinn des Mandanten, den es auch nicht weiterhin Interessiert, obwohl er es weiß.</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312392#m1312392 Alex 2008-11-27T18:46:13Z 2008-11-27T18:46:13Z Basta-Progger <p>Hey, zuspät.<br> Das System wird täglich ausgenutzt, ca. 10.000 EUR Schaden / Tag. Aber den Mandanten interessiert das nicht, da der Gewinn der erzielt wird, den Schaden in den Schatten stellt :) ... ist auch nicht mein Problem, ich mache das, was zu machen ist, nicht das was ich gerne machen würde (eine ordentliche validierung, und vorallem serverseitige-kommunikation).</p> <p>Ja es ist ein Wizt, aber dieser Witz ist jeder 2te eShop in Internet.<br> Ich kann dir min. 10 Shops aufzählen, die Millionengewinne verzeichnen, und zu 70-80% auf JavaScript basieren. Witz? Ehr traurige realität.</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312393#m1312393 Der Martin self@kennst.net 2008-11-27T19:02:06Z 2008-11-27T19:02:06Z Basta-Progger <p>Hallo,</p> <blockquote> <p>Ich kann dir min. 10 Shops aufzählen, die Millionengewinne verzeichnen, und zu 70-80% auf JavaScript basieren.</p> </blockquote> <p>bist du sicher, dass wir das gleiche meinen? - Ich nämlich nicht.</p> <p>Ein Shopsystem, das ohne JS nicht bedienbar ist, würde ich zwar auch schon als Negativbeispiel sehen, aber das gibt es leider häufig. Die Frage ist aber: Werden "geschäftswichtige" Daten und Bedingungen ausschließlich clientseitig überprüft?<br> Viele Shops sind so aufgebaut, dass Javascript beim Client für eine reibungslose Bedienung des Frontends erforderlich ist, aber die wichtigen Vorgänge (Validitäts- und Plausibilitätschecks) finden serverseitig statt - eventuell nach einer clientseitigen Vorab-Prüfung, damit nicht unnötig Traffic generiert wird.</p> <p>Bei deinem Beispiel habe ich aber den Eindruck, dass das Shopsystem Daten vom Client ohne serverseitige Überprüfung annimmt (bzw. es scheint nur Informationen zu prüfen, die per definitionem unzuverlässig sind) - auch wenn man dazu die Requests manipulieren müsste. Wenn das wirklich der Fall ist, unterscheidet sich "dein" Shop signifikant von den meisten eingesetzten Lösungen.</p> <p>So long,<br>  Martin</p> <div class="signature">-- <br> Man gewöhnt sich an allem, sogar am Dativ. </div> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312394#m1312394 Alex 2008-11-27T19:10:02Z 2008-11-27T19:10:02Z Basta-Progger <blockquote> <p>bist du sicher, dass wir das gleiche meinen? - Ich nämlich nicht.</p> </blockquote> <p>Ich jetzt auch nicht mehr :)</p> <blockquote> <p>Ein Shopsystem, das ohne JS nicht bedienbar ist, würde ich zwar auch schon als Negativbeispiel sehen, aber das gibt es leider häufig. Die Frage ist aber: Werden "geschäftswichtige" Daten und Bedingungen ausschließlich clientseitig überprüft?</p> </blockquote> <p>Nicht nur!<br> JS wird bei uns (wie du schon erwähnt hast) im Frontends benutzt, aber auch bei der Übermittlung der relevanten Daten des Warenkorbes.<br> Den Abgleich mit der DB übermimmt eine exe (c++), da diese Methode am sichersten ist. Am sonsten läuft alles in Perl.</p> <blockquote> <p>Viele Shops sind so aufgebaut, dass Javascript beim Client für eine reibungslose Bedienung des Frontends erforderlich ist, aber die wichtigen Vorgänge (Validitäts- und Plausibilitätschecks) finden serverseitig statt - eventuell nach einer clientseitigen Vorab-Prüfung, damit nicht unnötig Traffic generiert wird.</p> </blockquote> <p>Genau das!</p> <blockquote> <p>Bei deinem Beispiel habe ich aber den Eindruck, dass das Shopsystem Daten vom Client ohne serverseitige Überprüfung annimmt (bzw. es scheint nur Informationen zu prüfen, die per definitionem unzuverlässig sind) - auch wenn man dazu die Requests manipulieren müsste. Wenn das wirklich der Fall ist, unterscheidet sich "dein" Shop signifikant von den meisten eingesetzten Lösungen.</p> </blockquote> <p>Jein!<br> Ich habe heute festgestellt das man Sachen bestellen kann, ohne die Adresse angeben zu müssen (eigentlich validiert das JS, die man aber mit FireBug austrixen kann), oder die Kreditkartendaten (spätestens beim Abbuchen, wird der Fehler entdeckt, und die Lieferung storniert).</p> https://forum.selfhtml.org/self/2008/nov/27/firebug-das-perfekte-manipulations-tool-bei-html-javascript/1312397#m1312397 Alex 2008-11-27T18:47:52Z 2008-11-27T18:47:52Z FireBug, das perfekte Manipulations-Tool bei HTML & JavaScript ? <blockquote> <p>Das heißt, bevor ich bei euch etwas bestellen kann muss ich mir erst eine Domain registrieren die auf deiner Liste steht und dann auf dem Server dem diese Domain zugeordnet ist den Browser starten, damit die Anfrage *von dieser Domain* kommt?</p> <p>...und wenn dir diese Aussage lächerlich und blöd vorkommt, das beruht auf Gegenseitigkeit.</p> </blockquote> <p>Ja das tut sie :)<br> Ich habe bereits eingesehen das ich unrecht hatte. Ich hatte keine Ahnung was alles dahinter steckt und welche Möglichkeiten man heut zutage hat.</p> <blockquote> <p>Dir ist scheinbar nicht klar, was man alles an Requests manipulieren kann. Um es einfach zu sagen: es gibt nichts, das man nicht manipulieren kann. Hol dir mal den Fiddler2 (Proxy), damit kannst du Requests mitprotokolieren, analysieren und modifizieren... viel Spaß ;-)</p> </blockquote> <p>Danke für den Tipp, werde mir mal das näher ansehen.</p>